对于费尔V8检测签名证书的疑惑

杀软小白鼠

这个疑惑来源于今天样本区的精睿论坛样本测试（07.17）

上午的时候（病毒库版本为7月17日上午07：49：58）费尔V7版本检测出45个，可以参见原帖3楼，而我用V8版本只测出40个（开启检测数字签名，启发调到最高）


晚上的时候luxiao200888提示我关闭签名检测再试试，于是出现如下的结果（此时病毒库为10：39：40）：
开启签名证书检测，只检测出44个：


而关闭签名证书检测，检测出48个：


如果签名证书检测是为了减少误报，那么想法是好的，可是由此降低了查杀率，那就得不偿失了吧。

25636

检测数字签名应该要检测常规文件（exe、dll），而不是所有文件

挥泪斩情思

嗯，这个应该是签名检测机制的问题，应该在检测机制上进一步细化规则，要在有效降低误报的同时，防止因为检测机制不完善，造成一些样本的漏报漏杀，比如伪造数字签名的样本等等，做到误报和漏报的平衡

Filseclab

费尔验证签名是确保证书有效且未被颁发机构吊销的情况下才放行，伪造的证书是无法通过验证的。根据你提供的样本测试发现，打开验证签名的功能后那些放行的样本确实具有真实有效的签名证书，所以被自动排除。V8中具有证书黑名单功能，具有合法签名但确实有害的持有者程序可以通过加入黑名单来解决。

杀软小白鼠

Filseclab 发表于 2012-7-19 23:24
费尔验证签名是确保证书有效且未被颁发机构吊销的情况下才放行，伪造的证书是无法通过验证的。根据你提供的 ...

希望这个检测机制在V8正式版中可以进一步完善。就目前的情况来看，它确实会影响病毒检测率。关于黑名单，我并没有找到在哪里可以添加，是否是由官方进行添加？这样的步骤会不会有严重的滞后性？

ikimi

有效数字签名并不是万能的，建议杀毒软件自动获取各大CA的CRL。

jefffire

显然，用户碰到一个有签名但被误报的文件的概率远高于一个有签名但有害的文件的概率。